信息安全等级保护测评机构评优标准(试行)
信息安全等级保护标准
信息安全等级保护标准
1. 安全目标:明确了信息系统安全保护的目标,包括机密性、完整性和可用性。
2. 安全等级划分:根据信息系统的安全需求和重要性,将其划分为不同的安全等级。
3. 安全技术要求:包括物理安全、网络安全、系统安全等方面的技术要求,如访问控制、身份认证、加密传输等。
4. 安全管理措施:包括组织结构、人员管理、安全培训等方面的管理措施,以保证信息安全的有效管理。
5. 安全测试评估:对信息系统进行定期的安全测试和评估,发现系统中存在的安全漏洞和风险,并及时采取措施进行修复。
6. 安全事件响应:建立健全的安全事件响应机制,对安全事件进行及时处理和跟踪,同时进行安全事故的调查与处理。
等保标准适用于政府机关、企事业单位等组织,旨在加强信息系统的安全保护,防止信息泄露、数据破坏、系统瘫痪等安全事件的发生。
对于不同行业和领域的组织,根据其安全需求和实际情况,可以进行相应的等级划分和安全措施的实施。
信息安全技术 信息系统安全等级保护测评要求
信息安全技术信息系统安全等级保护测评要求信息安全技术是保障信息系统安全的重要手段之一,而信息系统安全等级保护测评是衡量信息系统安全等级的重要评价方法之一。
本文将从信息安全技术和信息系统安全等级保护测评的概念、方法和要求等方面进行阐述。
一、信息安全技术信息安全技术是指对信息系统进行保护和防护的一系列技术手段。
信息系统防护的目标是保证信息的机密性、完整性、可用性和认证性。
常见的信息安全技术包括加密技术、身份认证技术、访问控制技术、安全传输技术等。
1. 加密技术加密技术是一种通过改变信息的表达方式,实现信息内容不易被理解和使用的技术手段。
常见的加密技术包括对称加密算法、非对称加密算法和哈希算法等。
这些算法可以在数据传输、数据存储和身份认证等方面应用,以提高信息系统的安全性。
2. 身份认证技术身份认证技术是一种通过验证用户的身份信息,确认其是否具有访问权限的技术手段。
常见的身份认证技术包括口令认证、生物特征认证和智能卡认证等。
这些技术可以有效防止非法用户对信息系统进行恶意访问和操作。
3. 访问控制技术访问控制技术是一种对用户访问信息系统进行限制和控制的技术手段。
常见的访问控制技术包括访问控制列表(ACL)、角色权限控制和流程控制等。
这些技术可以确保只有具备相应权限的用户才能访问和使用信息系统。
4. 安全传输技术安全传输技术是一种保证数据在传输过程中不被篡改、泄漏和窃听的技术手段。
常见的安全传输技术包括安全套接层(SSL)、虚拟专用网络(VPN)和防火墙等。
这些技术可以保护数据在网络传输过程中的安全性,防止数据被攻击者获取或篡改。
二、信息系统安全等级保护测评要求信息系统安全等级保护测评是根据国家和行业的相关规范要求,对信息系统的安全性进行评估和认证的过程。
保护测评的目的是为了评估系统的安全性等级,为其提供安全设计和改进的依据。
1. 测评方法保护测评的方法可以根据具体情况选择,如定性评估、定量评估、风险评估等。
信息安全等级保护等级测评实施细则doc-信息安全等级测评
信息安全等级保护等级测评实施细则doc-信息安全等级测评信息安全等级保护等级测评实施细则第一章总则第一条【目的】为加强信息安全等级测评机构建设和管理,规范等级测评活动,保障信息安全等级保护制度的贯彻落实,根据《信息安全等级保护管理办法》等有关规范制订本实施细则。
第二条【适用范围】本细则适用于等级测评机构、测评人员和测评活动的规范管理。
第三条【等级测评定义】等级测评是测评机构依据国家信息安全等级保护制度规定,受有关单位委托,按照有关管理规范和技术标准,对信息系统安全等级保护状况进行检测评估的活动。
第四条【测评机构定义】测评机构是经有关部门能力认可,经有关部门推荐,在一定范围内从事信息系统安全等级测评等工作的专业技术机构。
第五条【基本原则】测评机构应当按照有关规定和统一标准提供“客观、公正、安全”的测评服务,按照统一的测评报告模版出具测评报告。
第六条【保密要求】测评机构和测评人员应当遵守《国家保密法》的规定,保守在测评活动中知悉的国家秘密、商业秘密、敏感信息和个人隐私等。
第七条【管理体制】测评机构应当接受各级信息安全等级保护协调(领导)小组和公安网安部门的监督管理,并接受有关部门的业务管理和技术指导。
第二章测评机构第八条【总体要求】测评机构分为地区性、行业性测评机构,按照属地管理和行业管理相结合的原则进行建设和管理。
第九条【职责分工】国家信息安全等级保护协调小组办公室主管等级测评机构的建设和管理工作,指导行业等级测评机构的建设和管理工作,并委托专门的技术能力审验机构对测评机构的技术能力进行评估、审查并确认。
各省(区、市)等级保护协调(领导)小组办公室负责本地等级测评机构的建设管理工作。
第十条【基本条件】申请成为等级测评机构的单位(以下简称申请单位)应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上;(五)单位法人及主要工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有胜任等级测评工作的专业技术人员和管理人员,大学本科(含)以上学历所占比例不低于80%。
信息安全等级保护测评资质
信息安全等级保护测评资质信息安全等级保护测评资质,听起来有点复杂对吧?不过,别担心,咱们一起聊聊这个话题,保证你听了之后豁然开朗。
想象一下,你的家里有个保险柜,里面放着你最值钱的东西。
你一定不希望这个保险柜随便被人打开吧?信息安全等级保护,实际上就是为了保护你那些重要的信息不被不法分子偷走。
它就像是给你的数字世界加上一道防火墙,让你可以安心上网,不用担心自己的个人数据被泄露或者被黑客入侵。
那什么是“信息安全等级保护测评资质”呢?简单来说,这个资质就是对一些机构或者公司是否具备足够能力去保护信息安全的一种认证。
好比说,你如果想当个厨师,得先通过食品卫生考试,证明自己能处理好锅碗瓢盆,防止做出不卫生的食物;而这个资质就像是信息安全领域的“食品卫生证”,它证明了一家公司有没有足够的技术和能力,能够保证他们处理的数据不会被别人随便拿走或者搞砸。
有没有想过,如果没有这种资质,那谁敢放心把自己的数据交给他们?别说信息泄露,万一是个“黑心商家”,搞不好连你最隐私的事情都被挖出来了。
说到这里,可能有朋友会问,为什么一定要搞这些测评?毕竟,很多公司说他们做得好,结果也没出啥事嘛。
嗯,咱们得明白,信息安全保护不是一时半会儿能做好事儿的,它需要持续的监控和防护措施。
也许你现在用的APP看起来很安全,没出过问题,可谁知道明天会不会出现漏洞,或者是技术的变更,让你原本安全的资料一不小心就被泄露了?这就像是你明明住在一个安全的小区,结果有一天你发现门锁坏了,那可不就麻烦大了?所以,信息安全等级保护测评就是给这些公司做个“健康检查”,确保他们的防护措施时刻都处在最佳状态。
这个资质评定不仅仅是给那些做大数据、云计算的公司准备的,实际上,只要是涉及到信息存储和处理的公司,都有可能需要通过这个测评。
比如说银行、医院、学校,甚至是一些小型的企业。
别看这些单位平时好像跟信息安全没啥关系,但一旦涉及到客户的个人信息或者公司内部的机密数据,那就得特别小心了,稍有不慎,后果可就不堪设想。
等保三级测评标准 评分
等保三级测评标准评分等保三级测评标准:守护网络安全的神秘密码嘿,你知道吗?在网络这个浩瀚的宇宙中,就像星际战士需要强大的铠甲一样,企业和组织也有自己的“安全护盾”,那就是等保三级测评标准。
要是不了解它,小心你的网络世界被黑客“怪兽”轻易攻破哦!**一、“系统体检”:漏洞扫描不能少**在网络世界里,系统就像一个人的身体,漏洞扫描就是给系统做“体检”。
“哎呀呀,系统漏洞就像身体里的小虫子,要是不及时发现并消灭它们,说不定哪天就会引发一场大灾难!”等保三级测评标准中,漏洞扫描是至关重要的一环。
它就像一台超级显微镜,能细致入微地检查系统的每一个角落。
比如,操作系统是否存在可以被利用的安全漏洞,应用软件是否有后门被悄悄打开。
这就好比你的家门,要是门锁有问题,那小偷不就轻而易举地能进来了?给你举个例子吧,假如一个企业的网络系统没有定期进行漏洞扫描,黑客就可能利用某个未被发现的漏洞,悄悄潜入系统,窃取重要数据或者搞破坏。
而那些重视漏洞扫描的企业,就像拥有了“金钟罩铁布衫”,让黑客无从下手。
**二、“防火墙保卫战”:访问控制要严格**“嘿,访问控制就像网络世界的门卫大哥,可不是谁都能随便进进出出的!”在等保三级测评标准里,访问控制是一道坚固的防线。
它决定了谁能进入网络系统,能访问哪些资源。
这就好比你家的小区门禁,只有登记在册的居民才能自由进出,外人必须经过严格的审核。
访问控制可以分为身份认证和授权管理。
身份认证就像是给每个人发一张独一无二的“通行证”,只有拿着正确的“通行证”才能进入系统。
而授权管理则是规定了每个人在系统中的“活动范围”,你是能查看文件,还是能修改文件,都得按规矩来。
比如说,一个金融机构对客户的账户信息设置了严格的访问控制,只有经过多重身份认证并且有相应授权的员工才能查看和处理敏感信息,这样就能大大降低信息泄露的风险。
**三、“数据加密魔法”:保护信息不泄露**“数据加密,这可是网络世界的魔法咒语,能把重要信息藏得严严实实!”在等保三级测评标准中,数据加密是保护信息安全的重要手段。
信息安全保护等级测评标准
信息安全保护等级测评标准信息安全是当今社会中极为重要的一个议题,随着互联网的发展和普及,信息安全问题也日益受到重视。
在信息安全保护方面,不同的组织和机构都需要根据自身的特点和需求,采取相应的措施来确保信息的安全性。
而信息安全保护等级测评标准,则是评估和确认信息系统安全等级的重要工具之一。
首先,信息安全保护等级测评标准需要考虑的是信息系统的安全性能。
信息系统的安全性能包括信息系统的机密性、完整性、可用性等方面。
机密性是指信息系统中的信息不会被未经授权的个人或实体获取,完整性是指信息系统中的信息不会被未经授权的个人或实体篡改,可用性是指信息系统能够在需要时正常运行。
评估信息系统的安全性能,需要考虑到这些方面的综合情况,以确定信息系统的安全等级。
其次,信息安全保护等级测评标准还需要考虑信息系统的安全风险。
安全风险是指信息系统受到威胁和漏洞的可能性和影响程度。
评估信息系统的安全风险,需要考虑到信息系统所面临的各种威胁和漏洞,以确定信息系统的安全等级。
另外,信息安全保护等级测评标准还需要考虑信息系统的安全管理。
安全管理是指信息系统中的安全策略、安全控制、安全监控等方面。
评估信息系统的安全管理,需要考虑到信息系统中的安全策略是否合理、安全控制是否有效、安全监控是否到位,以确定信息系统的安全等级。
最后,信息安全保护等级测评标准还需要考虑信息系统的安全保障措施。
安全保障措施是指信息系统中的安全技术、安全设备、安全服务等方面。
评估信息系统的安全保障措施,需要考虑到信息系统中的安全技术是否先进、安全设备是否完备、安全服务是否可靠,以确定信息系统的安全等级。
综上所述,信息安全保护等级测评标准是评估和确认信息系统安全等级的重要工具,需要考虑信息系统的安全性能、安全风险、安全管理、安全保障措施等方面,以确定信息系统的安全等级。
只有通过科学、全面、客观的测评,才能更好地保护信息系统的安全,确保信息的安全性和可靠性。
信息安全等级保护测评指南
第三级信息系统应当每年至少进行一次等级测评,第四
级信息系统应当每半年至少进行一次等级测评,第五级 信息系统应当依据特殊安全需求进行等级测评。
编辑课件
广东省安全保护条例对测评要求
扫描检测工具 网络协议分析仪 攻击工具 渗透工具
编辑课件
等级保护测评标准
《信息系统安全等级保护测评要求》 《信息系统安全等级保护测评指南》
编辑课件
等级保护测评要求
编辑课件
测评要求的作用
指导系统运营使用单位进行自查 指导评估机构进行检测评估 监管职能部门参照进行监督检查 规范测评内容和行为
工具测试影响系统正常运行
在现场测评时,会使用一些技术测试工具进行漏洞测试、性 能测试甚至抗渗透能力测试。测试可能会对系统的负载造成 一定的影响,漏洞测试和渗透测试可能对服务器和网络通讯 造成一定影响甚至伤害。
敏感信息泄漏 编辑课件
等级测评方式-测试
功能/性能测试、渗透测试等。 测试对象包括机制和设备等。 测试一般需要借助特定工具。
支持测评 提供技术、工程和质量文档 实施的配合
1.3.7等级保护实施过程中的主要参与角色
信息安全服务机构:协助信息系统运营、使用单位完成等级保护的
相关工作,包括确定其信息系统的安全保护等级、进行安全需求分 析、安全总体规划、实施安全建设和安全改造等。
信息安全产品供应商:开发符合等级保护相关要求的信息安全产品,
编辑课件
广东省等级保护测评机构
关于发布广东省信息安全等级保护测评机构的公告
(粤等保办[2010]3号)
供我省信息系统运营、使用单位、主管部门选用提供各类测评服 务(差距评估、验收性测评、年度测评工作)。 1、广州竞远系统网络技术有限公司 2、中国赛宝实验室(工业和信息化部电子第五研究所) 3、广州华南信息安全测评中心 4、深圳市信息安全测评中心 5、深圳市网安计算机安全检测技术有限公司
等保安全评估标准
等保安全评估标准
等保安全评估标准是指对信息系统等级保护的一种评估方法和指导标准,用于评估信息系统在等级保护方面的安全性能和安全保障措施的合规性。
等保安全评估标准主要是根据国家相关法律法规和政策要求,结合国际上通用的信息安全管理标准和最佳实践,制定的一套具体的评估要求和方法。
根据中国国家标准《信息安全技术等级保护要求》,等保安全评估标准分为5个等级,由1级到5级,等级越高,安全要求
越严格。
等保安全评估标准主要包括以下几个方面的内容:
1. 安全管理要求:包括组织安全、人员安全、资产管理、访问控制、安全审计等方面的要求,以确保信息系统的整体安全管理能力。
2. 数据安全要求:包括数据分类与标识、数据传输与存储、数据备份与恢复、数据清除与销毁等方面的要求,以确保信息系统中数据的安全性。
3. 网络与系统安全要求:包括网络设备安全、系统配置与管理、系统安全控制、应用程序安全等方面的要求,以确保信息系统的网络和系统安全。
4. 用户安全要求:包括用户身份认证与授权、用户行为管理、用户审计和用户管理等方面的要求,以确保信息系统对用户的安全管理。
5. 外部环境安全要求:包括物理环境安全、通信设备安全、外部接口安全等方面的要求,以确保信息系统在外部环境中的安全。
等保安全评估标准的目的是为了确保信息系统在设计、建设、运行和维护过程中能够达到一定的安全等级,为信息系统的用户提供安全可靠的服务。
同时,等保安全评估标准也可以作为组织进行信息系统安全风险评估和管理的依据,帮助组织建立健全的信息安全管理体系。
信息安全等级测评机构能力要求使用说明
d) 人员管理制度 应包括人员录用、考核、日常管理以及离职等方面的内容和要求。 e) 培训教育制度
应包括培训计划的制定、培训工作的实施、培训的考核与上岗以及人员培训档案建 立等的内容和要求。
围、人员保密职责、各项保密措施与要求,以及违反保密制度的罚则等内容。 b) 项目管理制度 测评机构应依据《信息安全技术 信息系统安全等级保护测评过程指南》等技术标准
制定符合自身特点的测评项目管理程序,主要应包括测评工作的组织形式、工作职责, 测评各阶段的工作内容和管理要求等。
c) 质量管理制度(包含设备管理和文件档案管理等) 应以保证质量为前提对测评机构的设备、文件档案等提出各项要求。设备管理制度
2
信息安全等级测评机构能力要求使用说明
信息安全等级测评机构能力要求使用说明
1 范围
本规范规定了测评机构的能力要求。 本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2 名词解释
2.1 等级测评 等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术
标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。 2.2 等级测评机构 等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全
《信息安全等级测评机构能力要求》(以下简称《能力要求》)是等级保护测评体系建设 指导性文件之一。本规范吸取国际、国内测评与检查机构能力评定的相关内容,结合信息安 全等级测评工作的特点,对测评机构的组织管理能力、测评实施能力、设施和设备安全与保 障能力、质量管理能力、规范性保证能力、风险控制能力、可持续性发展能力等提出基本能 力要求,为规范等级测评机构的建设和管理,及其能力评估工作的开展提供依据。
信息安全等级保护三级系统测评标准
信息安全等级保护三级系统测评标准好的,以下是为您生成的一篇关于【信息安全等级保护三级系统测评标准】的文章:---# 信息安全等级保护三级系统测评标准## 前言嘿,朋友们!在当今这个数字化的时代,信息就像我们生活中的宝贝一样重要。
不管是企业的商业机密,还是咱们个人的隐私信息,都得好好保护起来。
那要怎么保护呢?这就有了信息安全等级保护三级系统测评标准。
这个标准啊,就像是给我们的信息穿上了一层坚固的铠甲,让那些可能的威胁和风险都没法轻易靠近。
今天咱们就来好好聊聊这个标准,弄清楚它到底是怎么保护咱们的信息安全的!## 适用范围这个信息安全等级保护三级系统测评标准适用的场景那可多了去了。
比如说,像银行、证券、保险这些金融机构的重要业务系统,还有政府部门的关键信息系统,比如税务、社保啥的。
说白了,只要是那些涉及到大量敏感信息、对社会或经济运行有着重要影响的信息系统,都得按照这个标准来进行保护。
给您举个例子,一家大型电商平台,它有成千上万的用户信息,包括姓名、地址、银行卡号等等。
如果这些信息泄露了,那后果不堪设想。
所以,这样的系统就必须得符合信息安全等级保护三级系统的测评标准,从技术到管理,全方位保障用户信息的安全。
再比如,一家医院的电子病历系统,里面有患者的各种诊疗信息,这也是极其敏感和重要的数据,同样得遵循这个标准来进行防护。
## 术语定义在了解这个标准之前,咱们先得弄清楚几个关键的术语。
**信息系统**:你可以想象成是一个专门处理和存储信息的“大盒子”,它有各种软件、硬件、网络啥的,共同完成信息的收集、处理、存储和传输。
**等级保护**:这就像是给信息系统划分“等级”,根据重要程度和受到威胁后的影响程度来分,不同等级有不同的保护要求,咱们说的三级就是比较重要的一个等级。
**安全测评**:简单来说,就是对信息系统的安全性进行“检查”,看看它是不是符合规定的标准和要求。
## 正文### 一、物理安全1. 物理位置的选择- 机房和办公场地应选择在具有防震、防风和防雨等能力的建筑内。
国家信息安全等级保护测评标准
国家信息安全等级保护测评标准国家信息安全等级保护测评标准是指针对信息系统、网络、数据等安全保护等级的测评标准,旨在保护国家、企事业单位及个人信息安全,促进信息安全建设。
下面按照步骤来阐述一下这一标准的相关内容。
一、测评范围标准的测评范围主要是针对国家层面的信息系统和网络安全,包括政府机关、金融、电信、能源、医疗等领域。
测评的对象包括信息系统和网络安全产品、企事业单位的信息系统和网络、云计算等。
二、测评等级国家信息安全等级保护测评分为5个等级,分别是1级、2级、3级、4级和5级。
其中,1级为最低等级,5级为最高等级。
不同等级的测评标准不同,按照每个等级的标准合格与否来衡量信息安全等级的高低。
三、测评方法国家信息安全等级保护测评采用的是“过程+结果”双重评价方法,主要包括技术测评和文化建设两个方面。
技术测评主要是对信息系统和网络的技术性能进行评价,包括漏洞扫描、渗透测试等;文化建设主要是针对企业文化、安全管理等方面进行评价,包括安全政策和规程制定、人员培训、应急演练等。
四、测评结果测评结果主要有两个方面,一是技术阶段的测评结果,二是文化建设阶段的测评结果。
根据这两个方面的测评结果,评出具体的信息安全等级。
企事业单位可以通过国家信息安全等级保护测评标准,了解自身信息安全的现状,制定改进措施,提高信息安全水平。
五、使用建议针对国家信息安全等级保护测评标准,企事业单位可以采取以下措施来提高信息安全等级:1. 加强信息安全意识教育,提高人员安全意识。
2. 制定有效的安全管理制度和规程,严格执行。
3. 选择安全性能较高的产品和技术,保障信息系统和网络的安全。
4. 定期进行安全漏洞扫描和渗透测试,及时修复安全漏洞。
总之,国家信息安全等级保护测评标准是保障国家信息安全的重要手段,也是提高企事业单位信息安全水平的必要途径。
企事业单位应该重视此标准,在实际应用中不断优化和改进,确保信息安全得到有效的保障。
信息安全等级保护测评机构评优标准(试行)
附件2:信息安全等级保护测评机构评优标准(试行)一、编制目的本标准的编制目的是通过统一的评价标准,以打分评价的方式选出工作表现和能力优秀的测评机构,从而鼓励先进、指引测评机构的发展方向。
二、指标设定对测评机构的评价指标共设为8项:系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。
三、各项指标打分标准指标项前七项满分100分,其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分,国家等保办对机构工作评价作为加分项,满分10分。
各项指标的打分标准如下:(1)系统测评数量打分标准根据测评系统数量计分,每个二级系统计0.05分,每个三级系统计0.2分,每个四级系统计0.3分,满分20分。
测评系统数量依据测评机构当年度1月1日至12月31日期间所完成的第二级以上信息系统测评数量,以测评报告计数,以每个测评报告首页复印件作为证据(2)测评师数量打分标准A.测评师人数10-15人,中、高级人员少于4人,得1分。
B.测评师人数10-15人且中、高级人员不少于4人,得3分。
C.测评师人数16-20人且中、高级人员不少于5人,得5分。
D.测评师人数21-25人且中、高级人员不少于7人,得6分。
E.测评师人数26-30人且中高、级人员不少于9人,得7分。
F.测评师人数31-35人且中高、级人员不少于11人,得8分。
G.测评师人数36-40人且中高、级人员不少于13人,得9分。
H.测评师人数40人以上且中高、级人员不少于15人,得10分。
备注:根据测评师证书和社保证明等材料为证据,若机构不同时满足高一级别两个要求,得低一级别分值。
(3)工具配备打分标准A.机构具备安全问题发现类工具:漏洞扫描工具(网络和主机)—1分WEB安全检测工具—1分恶意行为检测工具—1分数据库管理系统安全检测工具—1分B.机构具备安全问题分析与定位类工具:网络协议分析工具—2分源代码安全审计工具—2分C.机构具备安全问题验证类工具:渗透测试工具—2分。
信息系统等级保护测评评分标准
后续服务承诺
4
承诺协助招标方为完成信息系统整改提供科学、合理、有效的建议并及时跟进(2分)
有该项承诺得2分,酌情评分。
培训及后期技术服务工作(2分)
承诺根据工作需要提供相关培训及测评后的技术支持工作。本项共2分,酌情评分。
3
投标人实力评价
34
公司资质(14分)
1.具有ISO质量管理体系认证证书(认证范围必须含:信息安全等级保护测评),得2分。
信息系统等级保护测评评分标准
1.评标针对有效投标人进行价格、技术、商务方面评分,总为100分。
2.价格评标(满分30分)
3.技术评标、商务指标(满分70分):
序号
评分项目
分值
评审标准
1
方案设计
30
投标人内部制度和测评方案及技术支持(25分)
1.服务方案的完整性和专业性比较(17分):
(1)针对服务内容及服务方法有详细说明(4分)。
2.具有ISO信息安全管理体系认证证书(认证范围必须含:信息安全等级保护测评),得2分。
3.具有CNAS能力认可证书的,得2分;
4.具有江苏省企业信用贯标证书,得2分;
5、2013年以来未因违规行为受到江苏省网络安全等级保护协调小组办公室处罚,投标时提供无违规处罚声明并加盖投标人公章,得3分。
6、2013年以来所完成等级保护测评项目没有出现安全事件的声明并加盖投标人公章,得3分。
(2)有规范的服务标准及详细工作流程(4分)。
(ቤተ መጻሕፍቲ ባይዱ)等级保护测评过程中的风险规避措施(4分)。
(4)能对网络提供一年的24小时在线安全检测服务,及在国家重大活动期间提供24小时在线安全防御服务的可行性比较(5分)。
信息安全等级保护测评工作管理规范
竭诚为您提供优质文档/双击可除信息安全等级保护测评工作管理规范篇一:信息安全等级保护测评工作管理规范(试行)附件一:信息安全等级保护测评工作管理规范(试行)第一条为加强信息安全等级保护测评机构建设和管理,规范等级测评活动,保障信息安全等级保护测评工作(以下简称“等级测评工作”)的顺利开展,根据《信息安全等级保护管理办法》等有关规定,制订本规范。
第二条本规范适用于等级测评机构和人员及其测评活动的管理。
第三条等级测评工作,是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
等级测评机构,是指具备本规范的基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室(以下简称为“等保办”)推荐,从事等级测评工作的机构。
第四条省级以上等保办负责等级测评机构的审核和推荐工作。
公安部信息安全等级保护评估中心(以下简称“评估中心”)负责测评机构的能力评估和培训工作。
第五条等级测评机构应当具备以下基本条件:(一)在中华人民共和国境内注册成立(港澳台地区除外);(二)由中国公民投资、中国法人投资或者国家投资的企事业单位(港澳台地区除外);(三)产权关系明晰,注册资金100万元以上;(四)从事信息系统检测评估相关工作两年以上,无违法记录;(五)工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;(六)具有满足等级测评工作的专业技术人员和管理人员,测评技术人员不少于10人;(七)具备必要的办公环境、设备、设施,使用的技术装备、设施应当符合《信息安全等级保护管理办法》对信息安全产品的要求;(八)具有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;(九)对国家安全、社会秩序、公共利益不构成威胁;(十)应当具备的其他条件。
第六条测评机构及其测评人员应当严格执行有关管理规范和技术标准,开展客观、公正、安全的测评服务。
信息安全等级保护测评标准
信息安全等级保护测评标准信息安全等级保护测评标准是指对信息系统进行安全等级保护测评的技术标准和规范,是信息安全保护工作的重要依据。
信息安全等级保护测评标准的制定和执行,可以有效保障国家重要信息基础设施的安全,防范和抵御网络攻击,保护国家利益和社会稳定。
首先,信息安全等级保护测评标准需要明确测评的对象范围。
包括但不限于政府机关、金融机构、电信运营商、能源供应商等关键信息基础设施,以及其他重要信息系统。
对于不同的信息系统,其安全等级保护的要求和标准也会有所不同。
其次,信息安全等级保护测评标准需要明确测评的内容和要求。
包括但不限于信息系统的安全性能、安全防护能力、安全管理能力、应急响应能力等方面的要求。
同时,还需要对信息系统的安全等级进行划分和评定,以便进行有针对性的安全保护工作。
信息安全等级保护测评标准的制定需要充分考虑国家的法律法规、行业标准、技术标准和国际标准等方面的要求,确保其具有权威性和可操作性。
同时,还需要考虑信息系统的实际情况和安全风险,制定相应的测评方法和技术指标,以保证测评结果的准确性和可靠性。
在信息安全等级保护测评标准的执行过程中,需要严格按照标准要求进行测评工作,确保测评结果的客观性和公正性。
同时,还需要对测评结果进行认真分析和评估,找出存在的安全隐患和问题,并提出相应的整改措施和建议。
总之,信息安全等级保护测评标准是保障信息系统安全的重要手段,对于提高信息系统的安全性能和防护能力,保护国家和社会的利益具有重要意义。
因此,我们应当认真制定和执行信息安全等级保护测评标准,不断完善和提升信息安全保护工作的水平,为建设网络强国和数字中国作出应有的贡献。
信息安全等级测评机构能力要求使用说明
信息安全等级测评机构能力要求使用说明信息安全等级测评机构是指按照《信息安全等级保护条例》的规定,经国家权威机关认定并登记注册,具备信息安全测评资质的机构。
信息安全等级测评机构的能力要求使用说明的目的是为了确保测评机构能够有效、准确地评估信息系统的安全等级,为政府、企事业单位提供科学、可靠的信息安全保障服务。
一、机构能力要求1.人员(1)信息安全等级测评机构的人员应具备经过相关培训,并取得相应证书的信息安全专业人员。
主要人员应包括具有一定年限的信息安全工作经验的高级工程师、技术人员和专业测评师等。
(2)人员应具备良好的职业道德素质和团队合作精神,具备独立开展信息安全等级测评工作的能力。
(3)人员应定期参加相关技术培训和考试,不断提升自身信息安全专业知识和技能,适应信息安全技术的快速更新换代。
2.设备(1)信息安全等级测评机构应配备先进、完备的信息安全测评设备和工具,以确保对各种信息系统进行全面的测评。
(2)设备应具备可靠性、稳定性和安全性,满足信息安全等级测评的要求。
(3)设备应定期维护和检修,并及时更新升级,以应对不断变化的信息安全威胁。
3.方法和流程(1)信息安全等级测评机构应制定科学、规范的测评方法和流程,确保测评结果的准确性和可靠性。
(2)测评方法应结合测评对象的实际情况,综合运用攻击与防护知识、安全评估知识和相关技术手段等,对信息系统进行全面、细致的安全检测。
(3)测评流程应明确每个环节的职责和要求,确保测评的全过程可控、可追溯。
4.组织管理(1)信息安全等级测评机构应建立健全的组织管理体系,明确各级管理人员和各部门的职责和权限。
(2)组织管理体系应涵盖人事管理、质量管理、安全管理等方面,并严格执行相关政策和制度。
(3)组织管理体系应进行定期审核和持续改进,不断提高信息安全等级测评工作的质量和水平。
二、使用说明1.测评需求确认2.测评准备(1)信息安全等级测评机构应根据测评需求,调配相应的人员和设备,进行必要的准备工作。
信息安全等级保护测评技术标准和需求
信息安全等级保护测评技术标准和需求为了保障浏阳市人民医院“核心业务系统(HIS系统)”安全、稳定、可靠、高效的运行,按照相关的国家、行业的安全标准要求,需要对其进行安全等级保护三级测评。
测评内容包括:物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。
通过测评,对照相应安全等级保护要求进行差距分析,排查系统安全漏洞和隐患并分析其风险,制订出整改措施,出具测评报告。
具体内容包括:1、对浏阳市人民医院“核心业务系统(HIS系统)”的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理共10个层面通过访谈、检查、测评等方法进行初测评,找出差距、安全漏洞和隐患并分析其风险,制订出整改建议报告。
2、对经过整改后的信息系统进行回归测评,并正式形成《信息系统安全等级保护测评报告》。
一、测评内容包括信息系统技术安全性测评及信息系统管理安全测评:1、信息系统技术安全性测评包括但不限于:物理安全、网络安全、主机安全、应用安全、数据安全。
2、信息系统管理安全测评包括但不限于:安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。
二、测评具体要求:(一)信息系统技术安全性测评1、物理安全测评物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
2、网络安全测评网路安全测评应当包含:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。
3、主机安全测评主机安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。
4、应用安全测评应用安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
信息安全等级测评机构能力要求(试行)
d)整体测评实施能力,指根据测评报告的单元测评的结果记录部分、结果汇总部分和问题分析部分,从安全控制间、层面间和区域间出发考虑,给出整体测评的具体结果的能力。
d)报告编制阶段,找出整个信息系统安全保护现状与相应等级的保护要求之间的差距,分析差距可能导致被测评系统面临的风险,给出等级测评结论,形成测评报告,测评报告应依据公安部统一制订的《信息系统安全等级测评报告模版(试行)》的格式和内容要求编写,测评报告应通过评审并有相关记录。
6
6.1
a)产品研制、生产单位是由中国公民、法人投资或者国家投资或者控股的,在中华人民共和国境内具有独立的法人资格;
g)信息安全产品(专用测评设备和工具以外)开发、销售和信息系统安全集成;
h)限定被测评单位购买、使用其指定的信息安全产品;
i)其他危害国家安全、社会秩序、公共利益以及被测单位利益的活动。
信息安全等级测评机构能力要求
1
本规范规定了测评机构的能力要求。
本规范适用于测评机构的建设和管理以及对测评机构能力进行评估等活动。
2
2.1
等级测评是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对非涉及国家秘密信息系统安全等级保护状况进行检测评估的活动。
2.2
等级测评机构,是指具备测评机构基本条件,经能力评估和审核,由省级以上信息安全等级保护工作协调(领导)小组办公室推荐,从事等级测评工作的机构。
3
依据《信息安全等级保护测评工作管理规范》(试行),信息安全等级测评机构(以下简称测评机构)应当具备以下基本条件:
等级保护测评标准
等级保护测评标准等级保护是指在教育、竞赛、职业等方面对人的能力、技能、知识等进行分类和评估。
等级保护测评标准是用于确定不同等级保护水平的一套准则和规范。
本文将探讨等级保护测评标准的重要性,并提出一些考虑因素和建议。
等级保护测评标准的重要性在于为个体提供有针对性的指导和评估。
通过等级保护,人们可以了解自己在其中一领域内的能力水平,并有针对性地进行提升。
同时,等级保护也可以为教育和招聘等场合提供参考,帮助选拔合适的人才。
在制定等级保护测评标准时,应考虑以下几个因素:1.规范性:标准应该具备明确的规范性,使得不同的测评者在测评过程中能够统一的去进行评估。
标准会根据不同的领域和等级进行设计,确保评估的公正性和准确性。
2.客观性:标准应尽量客观,避免主观判断和个人喜好的影响。
客观性可以通过对指标和评估方法的明确和准确来体现,从而保证评估结果的公正性。
3.可测性:标准应该是可以测量的,即可以通过具体的测评方法进行评估。
在制定标准时,需要明确测评方法和评分方式,确保评估结果的可信度和有效性。
在制定等级保护测评标准时,可以考虑以下三个方面的指标:1.知识和技能水平:这是评估一个人在其中一领域内的能力和水平的重要指标。
可以通过知识测试、技能操作等方式来进行评估。
标准可以按照不同等级,在知识和技能的丰富程度上进行划分。
2.经验和实践能力:除了知识和技能水平,一个人在其中一领域内的经验和实践能力也是重要的评估指标。
可以通过实际项目经验、工作经历等来衡量经验水平,并以此为依据进行等级划分。
3.创新和解决问题能力:创新和解决问题能力是衡量一个人在其中一领域内的高级水平的指标。
可以通过创新项目经验、解决实际问题的能力等来评估。
除了上述指标,还应该考虑到等级保护的时效性和动态性。
随着技术和知识的不断进步,标准应该及时更新,以适应时代的发展和需求的变化。
综上所述,等级保护测评标准的制定对于评估个体能力和水平,提供有针对性的指导,以及选拔合适的人才具有重要意义。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
附件2:
信息安全等级保护测评机构评优标准
(试行)
一、编制目的
本标准的编制目的是通过统一的评价标准,以打分评价的方式选出工作表现和能力优秀的测评机构,从而鼓励先进、指引测评机构的发展方向。
二、指标设定
对测评机构的评价指标共设为8项:系统测评数量、测评师数量、工具配备、测评技术能力、业务经营能力、测评管理规范化、省级等保办对机构工作评价、国家等保办对机构工作评价。
三、各项指标打分标准
指标项前七项满分100分,其中系统测评数量20分、测评师数量10分、工具配备10分、测评技术能力30分、业务经营能力10分、测评管理规范化10分、省级等保办对机构工作评价10分,国家等保办对机构工作评价作为加分项,满分10分。
各项指标的打分标准如下:
(1)系统测评数量打分标准
根据测评系统数量计分,每个二级系统计0.05分,每个三级系统计0.2分,每个四级系统计0.3分,满分20分。
测评系统数量依据测评机构当年度1月1日至12月31
日期间所完成的第二级以上信息系统测评数量,以测评报告计数,以每个测评报告首页复印件作为证据
(2)测评师数量打分标准
A.测评师人数10-15人,中、高级人员少于4人,得
1分。
B.测评师人数10-15人且中、高级人员不少于4人,
得3分。
C.测评师人数16-20人且中、高级人员不少于5人,
得5分。
D.测评师人数21-25人且中、高级人员不少于7人,
得6分。
E.测评师人数26-30人且中高、级人员不少于9人,
得7分。
F.测评师人数31-35人且中高、级人员不少于11人,
得8分。
G.测评师人数36-40人且中高、级人员不少于13人,
得9分。
H.测评师人数40人以上且中高、级人员不少于15人,
得10分。
备注:根据测评师证书和社保证明等材料为证据,若机构不同时满足高一级别两个要求,得低一级别分值。
(3)工具配备打分标准
A.机构具备安全问题发现类工具:
漏洞扫描工具(网络和主机)—1分
WEB安全检测工具—1分
恶意行为检测工具—1分
数据库管理系统安全检测工具—1分
B.机构具备安全问题分析与定位类工具:
网络协议分析工具—2分
源代码安全审计工具—2分
C.机构具备安全问题验证类工具:渗透测试工具—2
分。
注意:根据A-C得分相加,得出工具配备项最后得分。
(4)测评技术能力打分标准
此项采用能力验证和抽查打分的结果。
A.参加CNAS能力验证活动,得分=能力验证分值
3/20。
B.对所有机构根据测评项目文档抽查情况评价,得分
项如下:
a)测评项目调查表信息收集全面、准确,最高2分;
b)测评方案内容完整,测评对象、指标和工具接入
点准确合理,最高3分;
c)测评原始记录内容翔实、客观、准确,最高3分;
d)测评报告内容完整,测评结果(单项/单元)准
确、整体分析和风险分析方法正确,最高7分。
注意:根据a)-d)得分相加,得出B得分。
根据A-B 得分相加,得出测评技术能力得分,如果机构未参加CNAS 能力验证活动,则B)中各项分值加一倍,满分30分。
(5)业务经营能力打分标准
A.根据机构本年度的合同额(包括安全测评之外的安
全服务等合同)打分:
a)未达到100万的,得0分。
b)达到100万的,得1分;
c)达到200万的,得2分;
d)达到300万的,得3分;
e)达到500万的,得4分;
f)达到700万的,得5分;
g)达到800万的,得6分;
h)达到1000万的,得7分。
B.根据机构渗透测试人员数量打分:
a)有1人的,得1分;
b)有2人的,得2分;
c)有3人及以上的,得3分。
注意:机构年度合同额应以本年度安全服务合同复印件为证据。
渗透测试人员应提交名单和详细信息。
根据A-B得分相加,得出此项最后得分。
(6)测评管理规范化打分标准
由省级等保办核查机构年度遵守《信息安全等级保护测评机构管理办法》情况。
A.核实机构根据《测评机构管理办法》第十一条规定,
是否及时进行变更报告情况,符合规定的;得2分,
基本符合的,得1分,不符合的,得0分;
B.核实机构根据《测评机构管理办法》第十三条、第
十四条和第十五条规定,规范测评师管理、保密管
理及持续培训情况;符合规定的,得2分,基本符合的,得1分,不符合的,得0分;
C.核实机构根据《测评机构管理办法》第十七条规定,
及时提交等级测评项目报告表情况;符合规定的,
得2分,基本符合的,得1分,不符合的,得0分;
D.核实机构根据《信息安全等级保护测评机构管理办
法》第十九条规定,及时报送测评机构开展情况和
信息系统安全状况分析报告的情况;符合规定的,
得2分,基本符合的,得1分,不符合的,得0分;
E.核实机构等级测评综合管理平台具备及使用情况;
机构具备等级测评综合管理平台,能够使用平台规
范测评管理流程、自动处理测评数据、自动生成报
告的;得2分,基本符合的,得1分,不符合的,得0分。
注意:根据A-E得分相加,得出此项最后得分。
(7)省级等保办对测评机构工作评价打分标准
A.根据机构积极对外开展等级保护的法规政策宣贯、
培训情况,根据年度内对外培训人数打分:
a)累计培训人数9人以内的,得0分;
b)累计培训人数10-19人的,得1分;
c)累计培训人数达到20人的,得2分;
d)累计培训人数达到60人的,得3分;
e)累计培训人数达到80人的,得4分;
f)累计培训人数达到100人的,得5分。
B.根据机构对公安机关安全检查、事件处置、网络安
全专项、应急职守工作的技术支持情况,根据年度支持次数打分:
a)支持1次的,得1分;
b)累计支持2次的,得2分;
c)累计支持3次的,得3分;
d)累计支持4次的,得4分;
e)累计支持5次及以上的,得5分。
注意:根据A-B得分相加,得出此项最后得分。
(8)国家等保办对测评机构工作评价打分标准
A.根据机构组织/支持部十一局或国家重要行业部门
开展大型等级保护宣贯、培训、技术交流、论坛等活动的支持次数打分:
a)支持1次的,得1分;
b)累计支持2次及以上的,得2分。
B.机构组织/参与制定等级保护相关的国家标准/行业
标准/地方标准或规范性文件的项目数量打分:
a)组织一项的,得1分;
b)组织一项的,得2分;
c)组织三项及以上的,得3分。
仅仅参与的,得分减半;
C.机构组织/参与等级保护工具(系统)研发,或者积
极支持部十一局专项工作的,根据支持配合次数打分:
a)支持1次的,得1分;
b)支持2次的,得2分;
c)支持3次及以上的,得3分。
D.根据机构在等级保护新技术研究方面有相关的研究
课题/报告以及在技术大会和体系大会中报送论文
情况打分:
a)有研究课题/报告的,得1分;
b)论文总数在3篇以下的,得0分;
c)论文总数在3篇及以上,优秀论文1篇及以上的,
得1分。
注意:根据A-D得分相加,得出此项最后得分。